DSGVO für Kurzzeitvermieter: was Sie wirklich tun müssen

Als ich den DSGVO-Text zum ersten Mal las, hatte ich gerade zwei Monate auf Airbnb gehostet. Nach zwanzig Seiten schloss ich den Tab und sammelte weiter Pass-Scans von EU-Gästen in einem Telegram-Ordner. Drei Jahre später ist dieser Telegram-Ordner der Teil meines Host-Setups, für den ich mich am meisten schäme.

Dies ist eine praktische Anleitung für Hosts, die keine Juristen sind und auch keine werden wollen. Fünf konkrete Aktionen für diese Woche, plus, was jede tatsächlich bedeutet.

Gilt die DSGVO überhaupt für mich?

Wenn Ihre Wohnung in der EU steht und Sie sie vermieten: ja.

Wenn Ihre Wohnung außerhalb der EU steht und Sie Gäste aus EU-Ländern annehmen: auch ja, wegen des extraterritorialen Geltungsbereichs der DSGVO. Artikel 3(2) erstreckt die Verordnung auf jeden Verantwortlichen, der „personenbezogene Daten von Personen in der Union verarbeitet", wenn er ihnen Waren oder Dienstleistungen anbietet. Eine Airbnb-Wohnung in Taschkent, die eine Buchung aus Berlin annimmt, verarbeitet auf dem Papier EU-Personendaten und ist damit erfasst. Die Übersicht der Europäischen Kommission, wer betroffen ist, ist eindeutig; der Europäische Datenschutzausschuss veröffentlicht Leitlinien für Nicht-EU-Verantwortliche.

In der Praxis ist fast kein außereuropäischer Host je von einer EU-Datenschutzbehörde mit einem Bußgeld belegt worden. Das Risiko ist nicht die Vollstreckung gegen einen kleinen Betreiber außerhalb des Blocks. Das Risiko ist, dass Ihre Plattform eskaliert, weil ein einziger Gast eine Beschwerde eingereicht hat, Ihr Konto eine Inhaltswarnung kassiert und künftige Buchungen sinken. Das ist das realistische Bedrohungsmodell. Behandeln Sie die DSGVO als Plattform-Hygiene mehr als rechtliche Exposition.

Eine Ausnahme: Hosts in der EU mit GmbH oder Einzelunternehmer-Anmeldung. Für Sie ist die rechtliche Exposition real, und ein echtes Bußgeld kann landen. Lesen Sie mit dieser Schärfe weiter.

Der Datenschutzhinweis (ein Satz, dann eine Seite)

Die meisten Hosts überspringen das oder kopieren eine Vorlage mit Wörtern wie „Betroffene Person" und „Verantwortlicher", die unlesbar ist.

Das minimal konforme Muster hat zwei Schichten:

1. Ein-Satz-Zusammenfassung im Moment der Erhebung. Wenn Sie ein Pass-Foto anfragen, schicken Sie eine kurze Nachricht: „Ich speichere das bis 30 Tage nach Ihrem Aufenthalt, dann wird es gelöscht. Volle Details: Link." Vor dem Upload schicken.
2. Vollseite unter /privacy. Listet Datenkategorien, Zweck, Rechtsgrundlage, Aufbewahrungsfrist und Kontakt für Löschanfragen. Kein Juristendeutsch. Klartext gewinnt, weil Aufsichtsbehörden ihn jetzt ausdrücklich bevorzugen.

Unsere /privacy-Seite ist das Beispiel, das ich denke, dass kleine Hosts fast wortgleich kopieren können. Rund 600 Wörter. Die Schlüsselabschnitte:

• Welche Daten: Pass-Scan, Buchungstermine, Kommunikationshistorie.
• Warum: gesetzliche Gästeanmeldung, Streitbeilegung, Aufenthaltslogistik.
• Wie lange: eine konkrete Tageszahl, nicht „nach Bedarf".
• Wer noch: die Plattformen (Airbnb, Booking) und ggf. das genutzte Tooling (RentTools, wenn Sie es nutzen).
• Wie löschen: eine E-Mail-Adresse, die Sie tatsächlich prüfen.

Disclaimer-Absätze weglassen. Den „Ihre Privatsphäre ist uns wichtig"-Satz weglassen. Aufsichtsbehörden nennen das performativ. Die Fakten benennen.

Häufiger Fehler: Hosts recyceln eine Vorlage, die für einen E-Commerce-Shop gedacht war. Diese Vorlagen nehmen Cookies, Marketing-Analytics und Drittanbieter-Tracker an. Die meisten kleinen Hosts haben keines davon. Je einfacher die Datenschutzseite, desto glaubwürdiger.

Abbildung 1: Zwei-Schicht-Hinweis-Muster. Kurze Nachricht im Moment der Erhebung; volle /privacy-Seite darunter. Screenshot folgt; landet unter /blog/gdpr-for-vacation-rental-hosts/figure-1.png.

Rechtsgrundlage: Vertrag, gesetzliche Pflicht, fast nie Einwilligung

Artikel 6 DSGVO listet sechs Rechtsgrundlagen. Für Kurzzeitvermieter decken genau zwei fast jeden Fall ab.

1. Vertragserfüllung. Wenn ein Gast Ihre Wohnung bucht, ist die Verarbeitung von Name, Datum und Kontakt zur Erfüllung des Vertrags erforderlich. Keine zusätzliche Einwilligung nötig. Deckt Buchungs-Daten ab.
2. Rechtliche Verpflichtung. Wenn lokales Recht Gästeanmeldung verlangt (Spaniens parte de viajero, Italiens alloggiati web, Frankreichs fiche d'hôtel, Deutschlands Meldeschein, Russlands FMS-Formular, Usbekistans OVIR), liegt die Pass-Erhebung unter „rechtliche Verpflichtung". Auch keine Einwilligung nötig.

Was ist mit Einwilligung? Einwilligung ist die richtige Grundlage für Marketing-Mails, Fotos zur Social-Media-Nutzung, freiwillige Treueprogramme. Fast nichts in der Routine ist einwilligungsbasiert, und die Behandlung als wäre es eine schafft ein Problem: Nach DSGVO muss Einwilligung freiwillig sein. Heißt, der Gast kann sie zurückziehen. Wenn Sie Pass-Erhebung als einwilligungsbasiert markieren, kann der Gast ablehnen, und Sie können nicht legal vermieten — was bedeutet, dass die Einwilligung nie freiwillig war. Dieses Anti-Muster nennen die EDSA-Leitlinien zur Einwilligung ausdrücklich.

Praktische Regel: Kann der Gast nicht nein sagen, ohne die Vermietung zu verlieren, ist die Grundlage Vertrag oder gesetzliche Pflicht, nicht Einwilligung. Das richtige in den Datenschutzhinweis schreiben, und die ganze Frage erledigt sich.

Aufbewahrungsfrist: eine Zahl wählen

Die meisten Datenschutzhinweise sagen „so lange wie nötig". Das ist nach Artikel 5(1)(e) DSGVO technisch erlaubt und praktisch nutzlos. Eine Aufsicht fragt: nötig wofür, und wie lange? Sie brauchen eine Zahl.

Drei Zahlen, auf die ich mich festgelegt habe, mit Begründung:

1. Buchungs-Kommunikation: 90 Tage nach Auscheck. Lang genug für einen verspäteten Streit, kurz genug, um Chat-Logs nicht ewig zu horten.
2. Pass-Scans: 30 Tage nach Auscheck, außer lokales Recht erzwingt länger. In Ländern mit mehrjähriger Aufbewahrung (Russland, einige EU-Mitglieder) der gesetzlichen Vorgabe folgen. Danach löschen. Der Pass-Scan ist die riskanteste Datenkategorie, die Sie halten; je kürzer die Aufbewahrung, desto kleiner die Schadenwirkung im Leck-Fall.
3. Aggregierte Buchungshistorie: unbegrenzt. Namen, Termine, Gesamtumsatz. Brauchen Sie für die Steuer, und Steuerbehörden kommen fünf Jahre später zurück. Kontaktdaten nicht in dieses Archiv. E-Mail und Telefon vor der Archivierung entfernen.

Die länderspezifischen Aufbewahrungsregeln für Pass-Daten sind verstreut und uneinheitlich. Ich schreibe einen separaten Beitrag mit der Tabelle pro Land — Spanien, Portugal, Italien, Frankreich, Griechenland, Kroatien, Russland, Usbekistan. Bis dahin: Voreinstellung „kürzeste Frist, die das Recht erlaubt" und Querprüfung mit dem Tourismusbüro Ihrer Gemeinde.

Der größte DSGVO-Fehler, den ich Hosts machen sehe, ist der WhatsApp-Ordner mit Pass-Scans, der vier Jahre zurückgeht, weil niemand nach unten scrollt, um Altes zu löschen. Der Ordner ist das Leck. Wird das Handy gestohlen, hat ein Übeltäter den Ausweis des Gastes, und der Host hatte keinen Grund, ihn so lange zu behalten.

Auftragsverarbeiter: wer noch die Daten sieht

Ein Auftragsverarbeiter ist jeder neben Ihnen, der Gastdaten verarbeitet, weil er bei der Aufgabe hilft. Beispiele:

• Die Buchungsplattformen (Airbnb, Booking, Vrbo). Die sind gemeinsame Verantwortliche, keine Auftragsverarbeiter. Ihre Datenschutzerklärungen decken ihre Seite.
• Ihr PMS oder Sync-Tool. Bei Hostaway, Lodgify, Smoobu oder RentTools ist das ein Auftragsverarbeiter. Auflisten.
• Ihr Cloud-Hosting. Bei Selbst-Hosting auf einem Droplet ist der Cloud-Anbieter technisch ein Auftragsverarbeiter. Auflisten.
• Ihr E-Mail-Anbieter. Die Inbox, in der Gäste Scans senden. Gmail, Outlook, Fastmail. Auflisten.
• Ein Zahlungsabwickler. Stripe, Wise, das Händlerportal Ihrer Bank. Auflisten.

Sie brauchen für die meisten Klein-Host-Szenarien keinen unterschriebenen Auftragsverarbeitungs-Vertrag, weil die großen Plattformen Standardbedingungen veröffentlichen, die automatisch gelten. Sie müssen sie auf Ihrer /privacy-Seite auflisten, damit der Gast weiß, wohin seine Daten fließen.

Schlechtes Muster: Der Hinweis sagt „wir teilen ggf. mit vertrauenswürdigen Partnern". Dieser Satz fällt durch. Die echten Partner namentlich nennen. Wer sie nicht nennen kann, versteht den eigenen Datenfluss nicht gut genug, um zu betreiben.

Ein angrenzender Punkt: Das Reinigungs-Modul auf einem kleinen Objekt bringt oft einen weiteren Auftragsverarbeiter (die App der Reinigungskraft, falls genutzt). Reinigungskräfte sehen Gastnamen und Anreisezeiten, was als personenbezogene Daten zählt. Ebenfalls erwähnen.

Der Lösch-Ablauf

Artikel 17 DSGVO gibt jeder Person das Recht, die Löschung ihrer Daten zu verlangen. Als kleiner Host bekommen Sie das vielleicht einmal im Jahr. Sie brauchen einen Ablauf.

Der Ablauf muss kein Tool sein. Er muss drei Dinge tun:

1. Anfrage empfangen. Eine E-Mail-Adresse (host@ihredomain oder was Sie in /privacy nennen). Kein Kontaktformular, das im Spam landet.
2. Anfrage verifizieren. E-Mail mit Buchung abgleichen. Wenn jemand „John Smiths Daten" ohne Detail anfragt, fragen Sie nach welcher Buchung und von welcher E-Mail. Verifizierung ist DSGVO-Pflicht; Sie dürfen nicht im Auftrag eines Hochstaplers löschen.
3. Tatsächlich löschen. E-Mail-Ordner aufräumen, Pass-Scan löschen, Kalender-Eintrag schwärzen. Jeden Auftragsverarbeiter durchgehen, bestätigen. Daten in einem Tool, das Sie nicht kontrollieren (Airbnbs eigene Systeme), den Anfragenden dorthin verweisen. Sie können nicht löschen, was nicht Ihres ist; nur Ihre Kopie.

Sie haben 30 Tage zur Antwort nach Artikel 12(3), erweiterbar auf 90 für komplexe Anfragen. Eine Klein-Host-Löschanfrage ist nie komplex; in einer Woche antworten, und Sie sind fein raus.

Ein kleines Logbuch führen: empfangenes Datum, Anfragende, was gelöscht, abgeschlossen am. Eine Zeile pro Anfrage. Falls eine Aufsicht je fragt, ist das Log Ihr Beweis, dass der Ablauf existiert.

Eine Meinung

Die nützlichste DSGVO-Aktion, die ein kleiner Host diese Woche unternehmen kann: Aufbewahrungsfrist aufschreiben und einhalten. Nicht der Datenschutzhinweis (unseren kopieren). Nicht die Rechtsgrundlage (fast immer Vertrag oder gesetzliche Pflicht). Die Aufbewahrungsfrist.

Die meisten kleinen Hosts, die ich kenne, sind auf jeder anderen Achse okay und unter Wasser bei Aufbewahrung, weil sie nie eine Zahl gewählt haben. Eine wählen. Auf /privacy schreiben. Kalendererinnerung am 1. jeden Monats für den Lösch-Sweep. Was über die Frist hinaus ist, löschen. Der Rest der DSGVO folgt aus dieser einen Gewohnheit.